News

Die Erpresser-Software kommt per E-Mail als angebliche Rechnung. Im PDF-Dateianhang der E-Mail versteckt sich ein Word-Dokument mit eingebettetem Makro - aber erst dieses Makro löst die Infektion mit Jaff aus.

In der Regel soll der Betreff „Invoice“ die Aufmerksamkeit der Nutzer wecken. Der kurze Text der E-Mail fordert lediglich dazu auf, die angehängte PDF-Datei zu öffnen. Diese enthält jedoch nicht die angekündigte Rechnung, sondern ein Word-Dokument, das per JavaScript geöffnet werden soll – was der Nutzer zuerst bestätigen muss.

Einer Infektion mit Jaff steht dann allerdings noch eine zusätzliche Hürde im Weg:

Nutzer müssen das in das Word-Dokument eingebettete Makro ausführen, wovor Microsoft Word jedoch ausdrücklich warnt.

Wird dieser Hinweis ignoriert, lädt das Makro die eigentliche Ransomware herunter, die dann auch automatisch ausgeführt wird.